蓬勃發(fā)展的AI技術(shù)已經(jīng)滲透到各個(gè)領(lǐng)域，重塑千行百業(yè)。在我國(guó)網(wǎng)絡(luò)安全領(lǐng)域，各路廠商正積極擁抱AI技術(shù)，將其與安全運(yùn)營(yíng)的各個(gè)環(huán)節(jié)深度融合，推動(dòng)安全運(yùn)營(yíng)向自動(dòng)化、智能化方向發(fā)展。各廠商基于自身的技術(shù)積累、產(chǎn)品優(yōu)勢(shì)和對(duì)客戶(hù)需求的理解，紛紛推出各具特色的AI創(chuàng)新應(yīng)用，呈現(xiàn)出百花齊放的態(tài)勢(shì)。

AI應(yīng)用的廣泛度和成熟度

智能化安全運(yùn)營(yíng)（ISOC）將AI技術(shù)與傳統(tǒng)SOC應(yīng)用相結(jié)合，貫穿于安全運(yùn)營(yíng)的各個(gè)環(huán)節(jié)，可以實(shí)現(xiàn)更精準(zhǔn)的威脅檢測(cè)、更快速的事件響應(yīng)、更全面的安全感知、更智能的安全決策支持。安全牛認(rèn)為，目前ISOC的典型應(yīng)用場(chǎng)景主要包括風(fēng)險(xiǎn)識(shí)別、威脅檢測(cè)、事件響應(yīng)、運(yùn)營(yíng)管理、知識(shí)問(wèn)答和專(zhuān)家輔助。在安全牛即將發(fā)布的《智能化安全運(yùn)營(yíng)中心應(yīng)用指南（2025版）》中，對(duì)這些應(yīng)用場(chǎng)景進(jìn)行了深度的分析。

圖片

一、風(fēng)險(xiǎn)識(shí)別

對(duì)于擁有大量IT資產(chǎn)和復(fù)雜網(wǎng)絡(luò)環(huán)境的組織，傳統(tǒng)SOC面臨諸多問(wèn)題：一方面，傳統(tǒng)SOC需要定期進(jìn)行滲透測(cè)試來(lái)評(píng)估安全防御體系的有效性，但其漏洞管理依賴(lài)人工操作，效率低下且容易出錯(cuò)；另一方面，面對(duì)數(shù)量龐大、種類(lèi)繁多且變更頻繁的IT資產(chǎn)，傳統(tǒng)SOC的管理方式效率低、易出錯(cuò)，難以全面掌握資產(chǎn)全貌和實(shí)時(shí)安全狀態(tài)，無(wú)法有效滿(mǎn)足組織的安全管理需求。 

圖片

通過(guò)AI技術(shù)賦能風(fēng)險(xiǎn)識(shí)別的各個(gè)環(huán)節(jié)，實(shí)現(xiàn)從被動(dòng)到主動(dòng)的資產(chǎn)管理、從人工到自動(dòng)的風(fēng)險(xiǎn)評(píng)估、從割裂到閉環(huán)的漏洞管理，為構(gòu)建更具主動(dòng)性、更智能的安全運(yùn)營(yíng)體系奠定了基礎(chǔ)，尤其是在資產(chǎn)管理、風(fēng)險(xiǎn)評(píng)估和漏洞管理三大場(chǎng)景中。

圖片

智能化風(fēng)險(xiǎn)識(shí)別

1.資產(chǎn)管理

ISOC利用機(jī)器學(xué)習(xí)、知識(shí)圖譜等技術(shù)，可以實(shí)現(xiàn)資產(chǎn)的自動(dòng)發(fā)現(xiàn)、分類(lèi)、檢測(cè)并關(guān)聯(lián)，主要應(yīng)用于實(shí)現(xiàn)智能化的資產(chǎn)梳理，提升資產(chǎn)梳理的效率。

智能化賦能

• 利用機(jī)器學(xué)習(xí)模型等技術(shù)，可以自動(dòng)識(shí)別資產(chǎn)類(lèi)型、操作系統(tǒng)、應(yīng)用軟件等，實(shí)現(xiàn)資產(chǎn)自動(dòng)發(fā)現(xiàn)與識(shí)別；
• 利用自然語(yǔ)言處理技術(shù)，從資產(chǎn)配置文檔、漏洞描述中提取關(guān)鍵屬性信息，并根據(jù)資產(chǎn)屬性對(duì)資產(chǎn)進(jìn)行分類(lèi)和標(biāo)記（例如，服務(wù)器、工作站、數(shù)據(jù)庫(kù)、Web應(yīng)用等）；
• 利用機(jī)器學(xué)習(xí)模型，檢測(cè)資產(chǎn)配置變更，識(shí)別潛在風(fēng)險(xiǎn)；
• 利用知識(shí)圖譜技術(shù)，構(gòu)建資產(chǎn)之間的關(guān)聯(lián)關(guān)系圖譜。例如，應(yīng)用與服務(wù)器的依賴(lài)關(guān)系、用戶(hù)與設(shè)備的關(guān)聯(lián)關(guān)系等。

智能化優(yōu)勢(shì)

• 提高資產(chǎn)盤(pán)點(diǎn)效率：自動(dòng)化資產(chǎn)盤(pán)點(diǎn)，降低人工成本；
• 全面掌握資產(chǎn)信息：提供完整、準(zhǔn)確的資產(chǎn)清單，消除管理盲區(qū)；
• 及時(shí)發(fā)現(xiàn)資產(chǎn)變更：快速識(shí)別未授權(quán)的資產(chǎn)變更，降低安全風(fēng)險(xiǎn)；
• 可視化資產(chǎn)關(guān)系：通過(guò)知識(shí)圖譜，清晰顯示資產(chǎn)之間的關(guān)聯(lián)關(guān)系，從而進(jìn)行風(fēng)險(xiǎn)評(píng)估和事件調(diào)查。

2.風(fēng)險(xiǎn)評(píng)估

智能化賦能

• 強(qiáng)化學(xué)習(xí)：自動(dòng)化漏洞掃描、漏洞利用、攻擊路徑規(guī)劃；
• 機(jī)器學(xué)習(xí)：漏洞利用選擇、攻擊策略?xún)?yōu)化；
• 知識(shí)圖譜：目標(biāo)系統(tǒng)信息收集、攻擊路徑規(guī)劃；
• 自然語(yǔ)言處理：漏洞報(bào)告生成。

智能化優(yōu)勢(shì)

• 提高滲透測(cè)試效率：自動(dòng)化執(zhí)行滲透測(cè)試，縮短整個(gè)測(cè)試周期；
• 降低滲透測(cè)試成本：減少對(duì)人工滲透測(cè)試專(zhuān)家的依賴(lài)；
• 擴(kuò)大滲透測(cè)試覆蓋面：對(duì)目標(biāo)系統(tǒng)進(jìn)行更全面、更深入的安全測(cè)試；
• 提高滲透測(cè)試質(zhì)量：發(fā)現(xiàn)更多潛在的安全漏洞。

3.自動(dòng)化滲透測(cè)試和漏洞全生命周期管理

智能化賦能

• 利用自然語(yǔ)言處理技術(shù)，讀取CVE并解析漏洞描述、提取關(guān)鍵信息，如CVE編號(hào)、CVSS評(píng)分、影響范圍、修復(fù)建議等；
• 利用機(jī)器學(xué)習(xí)模型，根據(jù)漏洞的嚴(yán)重程度、可利用性、影響范圍等因素，對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序。利用知識(shí)圖譜技術(shù)，分析漏洞與資產(chǎn)、應(yīng)用、業(yè)務(wù)的關(guān)聯(lián)，評(píng)估漏洞的影響范圍，根據(jù)漏洞類(lèi)型、資產(chǎn)配置等因素，推薦最佳修復(fù)方案，并持續(xù)驗(yàn)證安全控制的有效性；
• 利用知識(shí)圖譜技術(shù)，收集目標(biāo)系統(tǒng)的相關(guān)信息（例如，網(wǎng)絡(luò)、應(yīng)用軟件、開(kāi)放端口、服務(wù)配置等）；
• 利用自動(dòng)化漏洞掃描工具和機(jī)器學(xué)習(xí)模型，識(shí)別目標(biāo)系統(tǒng)存在的漏洞，選擇最有可能成功利用的漏洞，規(guī)劃最佳攻擊路徑并自動(dòng)執(zhí)行漏洞利用，獲取系統(tǒng)權(quán)限。最后自動(dòng)生成滲透測(cè)試報(bào)告，包括發(fā)現(xiàn)的漏洞、攻擊路徑、修復(fù)建議等。

智能化優(yōu)勢(shì)

• 自動(dòng)化漏洞管理流程：提高漏洞管理效率，降低人工成本；
• 確定風(fēng)險(xiǎn)修復(fù)優(yōu)先級(jí)：優(yōu)先修復(fù)高危漏洞，降低安全風(fēng)險(xiǎn)；
• 準(zhǔn)確評(píng)估漏洞影響范圍：避免盲目修復(fù)，減少業(yè)務(wù)中斷時(shí)間；
• 提供智能修復(fù)建議：加快漏洞修復(fù)速度，提高修復(fù)質(zhì)量。

二、威脅檢測(cè)與研判

傳統(tǒng)SOC存在諸多局限性，基于規(guī)則的威脅檢測(cè)方法誤報(bào)率和漏報(bào)率高，難以應(yīng)對(duì)高級(jí)威脅并準(zhǔn)確評(píng)估安全告警的優(yōu)先級(jí)；面對(duì)海量日志數(shù)據(jù)，人工分析效率低下且容易出錯(cuò)，難以發(fā)現(xiàn)有價(jià)值的安全信息；在威脅情報(bào)處理上，人工分析難以應(yīng)對(duì)數(shù)量龐大、來(lái)源多樣且質(zhì)量參差不齊的情報(bào)，無(wú)法有效利用；對(duì)于內(nèi)部威脅，如賬戶(hù)盜用、異常登錄等用戶(hù)異常行為難以識(shí)別；在安全事件調(diào)查中，人工分析大量數(shù)據(jù)效率低且易出錯(cuò)，難以快速準(zhǔn)確地梳理事件脈絡(luò)和確定根本原因及影響范圍，亟需自動(dòng)化手段提升調(diào)查效率和準(zhǔn)確性。 

圖片

ISOC借助AI技術(shù)，在威脅檢測(cè)、告警降噪、情報(bào)生成利用、0day和高級(jí)威脅檢測(cè)以及事件調(diào)查等多方面實(shí)現(xiàn)智能化升級(jí)，有效提升了安全運(yùn)營(yíng)的效率、準(zhǔn)確性和科學(xué)性，構(gòu)建了更智能、高效的安全運(yùn)營(yíng)體系。

智能化威脅檢測(cè)

1.威脅檢測(cè)

ISOC可以通過(guò)對(duì)日志、業(yè)務(wù)流量及安全告警數(shù)據(jù)等進(jìn)行檢測(cè)和識(shí)別潛在威脅及異常行為，特別是APT攻擊、0-day漏洞攻擊、無(wú)文件攻擊等高級(jí)威脅，提高威脅檢測(cè)的覆蓋范圍和效率，降低誤報(bào)率和漏報(bào)率。

智能化賦能

• 深度學(xué)習(xí)：利用深度學(xué)習(xí)模型分析網(wǎng)絡(luò)流量、終端行為等數(shù)據(jù)，檢測(cè)網(wǎng)絡(luò)入侵檢測(cè)、惡意軟件分析、漏洞利用等行為；
• 機(jī)器學(xué)習(xí)：利用機(jī)器學(xué)習(xí)進(jìn)行威脅分類(lèi)、威脅評(píng)分、誤報(bào)過(guò)濾。如對(duì)安全告警進(jìn)行分類(lèi)和評(píng)分，識(shí)別出高風(fēng)險(xiǎn)的告警；
• 用戶(hù)和實(shí)體行為分析：用戶(hù)異常行為檢測(cè)。如異常登錄、異常訪問(wèn)等；
• 知識(shí)圖譜：利用知識(shí)圖譜將安全事件與威脅情報(bào)進(jìn)行關(guān)聯(lián)，評(píng)估事件的風(fēng)險(xiǎn)等級(jí)。

智能化優(yōu)勢(shì)

• 提高威脅檢測(cè)準(zhǔn)確率：降低誤報(bào)率和漏報(bào)率；
• 檢測(cè)高級(jí)威脅：識(shí)別傳統(tǒng)方法難以檢測(cè)的高級(jí)持續(xù)性威脅（APT）；
• 加快威脅響應(yīng)時(shí)間：快速識(shí)別和定位威脅，加快響應(yīng)速度；
• 提升安全運(yùn)營(yíng)效率：智能化威脅檢測(cè)和評(píng)估，減輕安全評(píng)估負(fù)擔(dān)。

2.告警降噪

ISOC利用自然語(yǔ)言處理技術(shù)，解析非結(jié)構(gòu)化日志數(shù)據(jù)，提取關(guān)鍵信息（如時(shí)間、IP地址、用戶(hù)名、事件類(lèi)型等）；利用機(jī)器學(xué)習(xí)模型，檢測(cè)異常日志事件，如登錄失敗次數(shù)過(guò)多、異常文件訪問(wèn)等，對(duì)日志進(jìn)行分析，識(shí)別常見(jiàn)的日志模式，并分析日志事件序列，識(shí)別潛在的攻擊行為；利用知識(shí)圖譜技術(shù)，關(guān)聯(lián)不同來(lái)源的日志數(shù)據(jù)，攻擊事件的完整流程。主要應(yīng)用于通過(guò)AI技術(shù)對(duì)海量告警進(jìn)行精準(zhǔn)降噪，減少誤報(bào)，將真正告警從大量無(wú)效告警中提取出來(lái)。

智能化賦能

• 自然語(yǔ)言處理：日志解析、關(guān)鍵詞提取、語(yǔ)義分析。如從日志中提取源IP地址、目標(biāo)IP地址、端口號(hào)、協(xié)議類(lèi)型、事件類(lèi)型等；
• 機(jī)器學(xué)習(xí)：異常日志檢測(cè)、日志模式識(shí)別；
• 深度學(xué)習(xí)：日志序列分析、攻擊行為識(shí)別；
• 知識(shí)圖譜：日志關(guān)聯(lián)分析、事件溯源。如將來(lái)自不同安全設(shè)備的日志進(jìn)行關(guān)聯(lián)，發(fā)現(xiàn)隱藏的攻擊鏈。

智能化優(yōu)勢(shì)

• 智能化日志分析：提高日志分析效率，降低人工成本；
• 快速發(fā)現(xiàn)安全事件：及時(shí)識(shí)別異常日志事件，發(fā)現(xiàn)潛在威脅；
• 提高事件調(diào)查效率：通過(guò)日志關(guān)聯(lián)分析，快速定位事件原因；
• 提升設(shè)備采集能力：從海量日志數(shù)據(jù)中提取有價(jià)值的安全信息，全面了解安全設(shè)備。

3.情報(bào)生成和利用

ISOC可以利用自然語(yǔ)言處理技術(shù)，從情報(bào)報(bào)告中提取關(guān)鍵信息（如攻擊者、攻擊手段、漏洞信息、IOC等），自動(dòng)生成情報(bào)摘要，方便安全分析師快速了解情報(bào)內(nèi)容；利用知識(shí)圖譜技術(shù)，關(guān)聯(lián)不同來(lái)源的情報(bào)，構(gòu)建威脅知識(shí)圖譜，從情報(bào)中提取威脅指標(biāo)（IP地址、漏洞、APT組織信息等），用于威脅檢測(cè)；利用機(jī)器學(xué)習(xí)模型，根據(jù)情報(bào)的來(lái)源、時(shí)效性、相關(guān)性等因素，對(duì)情報(bào)進(jìn)行優(yōu)先級(jí)排序；翻譯和處理不同語(yǔ)言的威脅情報(bào)。主要應(yīng)用于利用AI技術(shù)進(jìn)行威脅情報(bào)的提取，提升威脅情報(bào)的準(zhǔn)確率。

智能化賦能

• 自然語(yǔ)言處理：利用自然語(yǔ)言處理提取威脅情報(bào)中的關(guān)鍵信息，例如IOC、攻擊者畫(huà)像和技術(shù)等，并實(shí)現(xiàn)威脅情報(bào)的情報(bào)信息提取、情報(bào)摘要生成、情報(bào)真?zhèn)闻袛嗟牧鞒讨悄芑Ｈ鐝陌踩珗?bào)告、博客、論壇等來(lái)源收集威脅情報(bào)，并將其應(yīng)用到威脅檢測(cè)中；
• 知識(shí)圖譜：情報(bào)關(guān)聯(lián)分析、威脅指標(biāo)提取。如構(gòu)建威脅情報(bào)知識(shí)圖譜，將不同來(lái)源的威脅情報(bào)關(guān)聯(lián)起來(lái)，形成更全面的威脅情報(bào)視圖；
• 機(jī)器學(xué)習(xí)：情報(bào)優(yōu)先級(jí)排序、情報(bào)可信度評(píng)估。對(duì)威脅情報(bào)進(jìn)行評(píng)分，評(píng)估威脅情報(bào)的可信度和相關(guān)性；
• AI智能體：自動(dòng)將威脅情報(bào)應(yīng)用到安全設(shè)備和系統(tǒng)中，例如更新防火墻的阻止列表、IDS/IPS的簽名庫(kù)、EDR的檢測(cè)規(guī)則等。

智能化優(yōu)勢(shì)

• 智能化情報(bào)分析：提高情報(bào)分析效率，降低人工成本；
• 快速獲取關(guān)鍵情報(bào)：及時(shí)了解最新的安全威脅和攻擊趨勢(shì)；
• 提高威脅檢測(cè)能力：利用威脅情報(bào)，提高威脅檢測(cè)的準(zhǔn)確性和時(shí)效性；
• 加強(qiáng)威脅情報(bào)共享：與合作伙伴共享威脅情報(bào)，共同防御網(wǎng)絡(luò)攻擊。

4.0day和高級(jí)威脅檢測(cè)

ISOC可以解讀日志數(shù)據(jù)，識(shí)別系統(tǒng)故障、配置錯(cuò)誤及異常行為。利用機(jī)器學(xué)習(xí)模型，為每個(gè)用戶(hù)構(gòu)建行為畫(huà)像，描述其正常的行為模式。實(shí)時(shí)監(jiān)控用戶(hù)行為，與用戶(hù)行為畫(huà)像進(jìn)行對(duì)比，檢測(cè)異常行為。對(duì)檢測(cè)到的異常行為進(jìn)行智能風(fēng)險(xiǎn)評(píng)分，確定威脅等級(jí)。對(duì)高風(fēng)險(xiǎn)異常行為同樣發(fā)布，并觸發(fā)相應(yīng)的響應(yīng)措施。

智能化賦能

• 機(jī)器學(xué)習(xí)：用戶(hù)行為建模、異常行為檢測(cè)、風(fēng)險(xiǎn)評(píng)分；
• 深度學(xué)習(xí)：序列行為分析、長(zhǎng)期行為模式學(xué)習(xí)；
• 集成學(xué)習(xí)：結(jié)合多個(gè)模型，提高檢測(cè)準(zhǔn)確率。

智能化優(yōu)勢(shì)

• 檢測(cè)內(nèi)部威脅：識(shí)別內(nèi)部人員的不當(dāng)行為或賬戶(hù)泄露；
• 降低誤報(bào)率：通過(guò)學(xué)習(xí)用戶(hù)正常行為模式，減少誤報(bào)；
• 提高威脅響應(yīng)速度：及時(shí)發(fā)現(xiàn)和阻止內(nèi)部威脅；
• 加強(qiáng)賬戶(hù)安全：預(yù)防賬戶(hù)被盜用或積分。

5.事件調(diào)查

ISOC利用AI智能體賦能可以顯著提升安全事件分析的效率和深度，如利用知識(shí)圖譜技術(shù)，關(guān)聯(lián)不同來(lái)源的數(shù)據(jù)，構(gòu)建事件關(guān)系圖譜，還原攻擊者的攻擊路徑，分析攻擊者的特征和行為模式，利用自然語(yǔ)言處理技術(shù)，自動(dòng)生成事件摘要，方便安全分析師快速了解事件情況。利用LLM幫助快速生成調(diào)查報(bào)告。幫助安全分析師快速、準(zhǔn)確地了解事件的來(lái)龍去脈，確定事件的根本原因和影響范圍，并為響應(yīng)和提供更可靠的決策支持。

智能化賦能

• 知識(shí)圖譜：事件關(guān)聯(lián)分析、攻擊還原路徑、攻擊者畫(huà)像。如還原攻擊路徑，幫助安全分析師了解攻擊者的攻擊步驟；
• 自然語(yǔ)言處理：事件摘要生成、調(diào)查報(bào)告撰寫(xiě)。如從安全事件描述、日志信息等文本數(shù)據(jù)中提取關(guān)鍵信息，輔助安全分析師進(jìn)行調(diào)查；
• 機(jī)器學(xué)習(xí)：攻擊源定位、攻擊手段識(shí)別。如進(jìn)行根本原因分析，例如識(shí)別導(dǎo)致數(shù)據(jù)泄露的漏洞或配置缺陷；
• 自動(dòng)生成報(bào)告：利用大語(yǔ)言模型（LLM）自動(dòng)生成和優(yōu)化調(diào)查報(bào)告。

智能化優(yōu)勢(shì)

• 提高事件調(diào)查的效率和準(zhǔn)確性；
• 幫助安全分析師更快地找到事件的根本原因和影響范圍；
• 為安全事件的響應(yīng)和處置提供更全面的信息支持。

三、事件響應(yīng)

安全事件響應(yīng)需要快速、準(zhǔn)確，傳統(tǒng)SOC手動(dòng)響應(yīng)方式效率低、易出錯(cuò)。通過(guò)AI賦能，ISOC可以實(shí)現(xiàn)安全事件響應(yīng)的智能化和自動(dòng)化，以及安全報(bào)告的自動(dòng)生成，從而大幅提升安全運(yùn)營(yíng)的效率和效果，降低安全風(fēng)險(xiǎn)。

圖片

ISOC通過(guò)AI賦能實(shí)現(xiàn)安全事件響應(yīng)的智能化和自動(dòng)化，包括自動(dòng)化響應(yīng)、智能決策、動(dòng)態(tài)調(diào)整策略及報(bào)告自動(dòng)生成等功能，大幅提升安全運(yùn)營(yíng)效率和效果，降低安全風(fēng)險(xiǎn)，同時(shí)減輕分析師負(fù)擔(dān)并減少人為錯(cuò)誤。特別是AI智能體的應(yīng)用，使得ISOC能夠更智能地進(jìn)行響應(yīng)決策和自動(dòng)化編排，提升事件響應(yīng)效率和報(bào)告的快速生成。 

圖片

ISOC利用SOAR平臺(tái)、AI智能體的賦能可以大幅提升安全事件的響應(yīng)速度和效率，縮短安全事件的響應(yīng)時(shí)間（MTTR），減少安全事件造成的損失，并實(shí)現(xiàn)更精細(xì)化和自動(dòng)化的響應(yīng)，實(shí)現(xiàn)安全事件的自動(dòng)響應(yīng)和處置，從而減少人工干預(yù)。比如說(shuō)，定義各種安全事件的響應(yīng)流程，如惡意軟件感染響應(yīng)流程、DDoS攻擊響應(yīng)流程等。利用機(jī)器學(xué)習(xí)模型，根據(jù)威脅類(lèi)型、影響范圍等因素，選擇最佳響應(yīng)動(dòng)作，如隔離受感染主機(jī)、阻止惡意IP地址、封鎖用戶(hù)賬戶(hù)等，并自動(dòng)執(zhí)行響應(yīng)動(dòng)作，事后利用強(qiáng)化學(xué)習(xí)技術(shù)，根據(jù)響應(yīng)效果，動(dòng)態(tài)調(diào)整響應(yīng)策略。

智能化賦能

• 智能的響應(yīng)決策：根據(jù)事件的類(lèi)型、影響范圍、風(fēng)險(xiǎn)等級(jí)以及當(dāng)前的威脅預(yù)警，利用進(jìn)行響應(yīng)決策，并推薦最佳的響應(yīng)措施；
• 智能化響應(yīng)預(yù)案生成：根據(jù)預(yù)定義的響應(yīng)策略和當(dāng)前的事件信息，自動(dòng)生成針對(duì)該事件的響應(yīng)預(yù)案，包括具體的響應(yīng)步驟、負(fù)責(zé)人、時(shí)間要求等；
• 與SOAR平臺(tái)的無(wú)縫集成：SOAR平臺(tái)自動(dòng)執(zhí)行預(yù)案中的自動(dòng)化操作，例如調(diào)用各個(gè)安全設(shè)備的API接口進(jìn)行隔離、阻止、清除等操作；
• 動(dòng)態(tài)調(diào)整響應(yīng)策略：根據(jù)響應(yīng)措施的執(zhí)行效果和威脅的變化，動(dòng)態(tài)調(diào)整響應(yīng)策略，實(shí)現(xiàn)自適應(yīng)的響應(yīng)；
• 自動(dòng)化的響應(yīng)驗(yàn)證：配合相關(guān)平臺(tái)（如EDR、NDR）進(jìn)行模擬攻擊或漏洞掃描，驗(yàn)證響應(yīng)措施的有效性。

智能化優(yōu)勢(shì)

• 提高響應(yīng)效率：快速響應(yīng)安全事件，減少響應(yīng)時(shí)間；
• 減輕分析師負(fù)擔(dān)：使專(zhuān)家聚焦分析處理更復(fù)雜的安全問(wèn)題；
• 降低安全風(fēng)險(xiǎn)：及時(shí)阻止威脅擴(kuò)散，減少安全損失；
• 減少人為錯(cuò)誤：自動(dòng)化執(zhí)行響應(yīng)動(dòng)作，避免人為操作失誤。

四、運(yùn)營(yíng)管理

隨著運(yùn)營(yíng)管理范圍的擴(kuò)大，安全運(yùn)營(yíng)業(yè)務(wù)覆蓋到模擬演練、數(shù)據(jù)安全和合規(guī)等領(lǐng)域。傳統(tǒng)的安全演練方式存在投入大、難以模擬真實(shí)復(fù)雜攻擊場(chǎng)景的問(wèn)題，難以高效提升安全團(tuán)隊(duì)的應(yīng)急響應(yīng)能力；數(shù)據(jù)安全管理主要依賴(lài)人工梳理和配置策略，難以全面、準(zhǔn)確、及時(shí)掌握企業(yè)數(shù)據(jù)安全現(xiàn)狀；合規(guī)評(píng)估也依賴(lài)人工操作，工作量大、效率低、易出錯(cuò)，難以保證全面性和一致性，且難以應(yīng)對(duì)不斷更新變化的合規(guī)要求。因此，組織需要更高效、簡(jiǎn)潔、可重復(fù)的模擬演練方式，以及更自動(dòng)化、智能化的數(shù)據(jù)安全管理和合規(guī)評(píng)估手段，以提升整體安全管理水平。

圖片

ISOC通過(guò)引入人工智能技術(shù)，特別是AI智能體，實(shí)現(xiàn)了安全運(yùn)營(yíng)管理的高效智能化、自動(dòng)化，能夠幫助企業(yè)更、更全面地進(jìn)行資產(chǎn)管理、風(fēng)險(xiǎn)評(píng)估、合評(píng)估規(guī)范，并提供智能化的決策支持，提升整體安全管理水平。

圖片

1.模擬演練

ISOC利用LLM生成演練劇本，包括攻擊目標(biāo)、攻擊策略、時(shí)間線等，并實(shí)現(xiàn)模擬演練的計(jì)劃、模擬攻擊和報(bào)告生成。

智能化賦能

• 利用知識(shí)圖譜構(gòu)建演練環(huán)境模型，包括網(wǎng)絡(luò)拓?fù)洹①Y產(chǎn)信息、漏洞信息等；
• 利用強(qiáng)化學(xué)習(xí)訓(xùn)練攻擊者自動(dòng)發(fā)現(xiàn)漏洞、利用漏洞、規(guī)劃攻擊路徑；
• 利用AI生成惡意流量、釣魚(yú)郵件、惡意軟件樣本。利用自然語(yǔ)言處理模擬攻擊者的通信和行為；
• 利用SOAR平臺(tái)編排防御流程，模擬安全團(tuán)隊(duì)的響應(yīng)操作；
• 利用機(jī)器學(xué)習(xí)模型進(jìn)行威脅檢測(cè)和事件分析。自動(dòng)執(zhí)行演練，記錄攻擊方和防御方的行為。評(píng)估演練結(jié)果，分析防御方的優(yōu)勢(shì)和不足；
• 利用自然語(yǔ)言處理和LLM自動(dòng)生成演練報(bào)告，包括演練過(guò)程、發(fā)現(xiàn)問(wèn)題、改進(jìn)建議等。
• 釣魚(yú)郵件生成，如根據(jù)用戶(hù)輸入的釣魚(yú)郵件主題，大模型自動(dòng)生成對(duì)應(yīng)內(nèi)容的釣魚(yú)郵件，滿(mǎn)足不同場(chǎng)景下的釣魚(yú)需求，并提供釣魚(yú)郵件所需要點(diǎn)，助力用戶(hù)提升撰寫(xiě)釣魚(yú)郵件技巧。

智能化優(yōu)勢(shì)

• 更真實(shí)的模擬場(chǎng)景：更真實(shí)的場(chǎng)景，模擬更復(fù)雜，提高演練的效果；
• 更高效地演練：自動(dòng)化執(zhí)行演練，減少人力和時(shí)間投入；
• 更可重復(fù)的演練：可以多次重復(fù)執(zhí)行演練，增強(qiáng)不同防御策略的效果；
• 更全面地評(píng)估：全面評(píng)估安全團(tuán)隊(duì)的應(yīng)急響應(yīng)能力和安全防御水平。

2.數(shù)據(jù)安全

企業(yè)普遍面臨數(shù)據(jù)資產(chǎn)模糊、數(shù)據(jù)識(shí)別敏感不準(zhǔn)、數(shù)據(jù)訪問(wèn)權(quán)限混亂、數(shù)據(jù)流動(dòng)不可視、數(shù)據(jù)安全風(fēng)險(xiǎn)難以評(píng)估等問(wèn)題。

智能化應(yīng)用賦能

• 智能化數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)：利用AI智能體自動(dòng)發(fā)現(xiàn)和識(shí)別企業(yè)內(nèi)部外部的各種數(shù)據(jù)資產(chǎn)，包括云端數(shù)據(jù)庫(kù)、本地?cái)?shù)據(jù)庫(kù)、文件服務(wù)器、SaaS應(yīng)用、終端設(shè)備等，并識(shí)別數(shù)據(jù)類(lèi)型、數(shù)據(jù)格式等；
• 標(biāo)記數(shù)據(jù)分類(lèi)分級(jí)：利用自然語(yǔ)言處理、機(jī)器學(xué)習(xí)等技術(shù)，自動(dòng)識(shí)別和分類(lèi)敏感數(shù)據(jù)，例如個(gè)人身份信息（PII）、財(cái)務(wù)、知識(shí)產(chǎn)權(quán)、商業(yè)機(jī)密等，并根據(jù)數(shù)據(jù)的敏感程度進(jìn)行分級(jí)；
• 數(shù)據(jù)訪問(wèn)權(quán)限梳理：自動(dòng)化分析和整理數(shù)據(jù)訪問(wèn)權(quán)限配置，識(shí)別權(quán)限過(guò)大、權(quán)限中斷、權(quán)限沖突等問(wèn)題。AI智能體可以通過(guò)解析IAM系統(tǒng)、數(shù)據(jù)庫(kù)配置等信息，自動(dòng)構(gòu)建數(shù)據(jù)訪問(wèn)權(quán)限圖譜；
• 數(shù)據(jù)流自動(dòng)發(fā)現(xiàn)：結(jié)合NDR和機(jī)器學(xué)習(xí)技術(shù)，自動(dòng)發(fā)現(xiàn)和異構(gòu)數(shù)據(jù)流地圖，展示數(shù)據(jù)在不同系統(tǒng)、不同用戶(hù)之間的流動(dòng)情況，并識(shí)別異常的數(shù)據(jù)流動(dòng)行為；
• 人工智能驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估：利用人工智能模型（如風(fēng)險(xiǎn)評(píng)估模型、異常檢測(cè)模型）對(duì)數(shù)據(jù)資產(chǎn)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并識(shí)別高風(fēng)險(xiǎn)的數(shù)據(jù)資產(chǎn)；
• 智能化安全策略：AI智能體可以根據(jù)數(shù)據(jù)配置的分類(lèi)分級(jí)結(jié)果和風(fēng)險(xiǎn)評(píng)估結(jié)果，自動(dòng)生成或優(yōu)化數(shù)據(jù)安全策略，例如數(shù)據(jù)訪問(wèn)控制策略、數(shù)據(jù)加密策略、數(shù)據(jù)脫敏策略等；
• 持續(xù)監(jiān)控與動(dòng)態(tài)調(diào)整：AI智能體持續(xù)監(jiān)控?cái)?shù)據(jù)安全增量，并根據(jù)威脅情報(bào)、安全事件、用戶(hù)行為等信息，動(dòng)態(tài)調(diào)整數(shù)據(jù)安全策略。

智能化優(yōu)勢(shì)

• 全面性：更全面地發(fā)現(xiàn)和識(shí)別數(shù)據(jù)資產(chǎn)，覆蓋各種類(lèi)型和位置的數(shù)據(jù)；
• 準(zhǔn)確性：更準(zhǔn)確地識(shí)別和分類(lèi)敏感數(shù)據(jù)，減少人工標(biāo)記的錯(cuò)誤和遺漏；
• 實(shí)時(shí)性：實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)訪問(wèn)和流動(dòng)情況，及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)；
• 自動(dòng)化：自動(dòng)化執(zhí)行數(shù)據(jù)安全裝載的各個(gè)部分，提高效率，降低成本；
• 可視化：以可視化的方式展示數(shù)據(jù)安全現(xiàn)狀，幫助安全團(tuán)隊(duì)更好地了解數(shù)據(jù)安全狀況。

3.合規(guī)評(píng)估

企業(yè)需要遵守各種安全法規(guī)、行業(yè)標(biāo)準(zhǔn)和內(nèi)部策略，企業(yè)需要及時(shí)了解和適應(yīng)這些變化ISOC可以幫助企業(yè)實(shí)現(xiàn)合規(guī)評(píng)估的自動(dòng)化、定制化和持續(xù)化，從而提高合規(guī)性管理的效率和效果，降低合規(guī)風(fēng)險(xiǎn)。AI智能體在其中扮演著重要的角色，它自動(dòng)化地執(zhí)行合規(guī)評(píng)估的各個(gè)環(huán)節(jié)，并提供定制的決策支持。

智能化應(yīng)用賦能：

• 利用NLP技術(shù)，自動(dòng)獲取和解析各種安全法規(guī)、行業(yè)標(biāo)準(zhǔn)和內(nèi)部策略文檔，提取出關(guān)鍵的合規(guī)要求，將提取出的合規(guī)要求轉(zhuǎn)化為機(jī)器可理解的格式，例如構(gòu)造數(shù)據(jù)表或知識(shí)圖譜。例如，AI智能體自動(dòng)解析數(shù)據(jù)安全的文本，提取出與安全相關(guān)的條款，例如加密、數(shù)據(jù)訪問(wèn)控制、數(shù)據(jù)泄露相關(guān)數(shù)據(jù)通知等要求；
• AI智能體自動(dòng)調(diào)用安全使用工具或腳本，對(duì)企業(yè)的IT系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行安全配置檢查。將檢查結(jié)果與提取出的合規(guī)要求進(jìn)行比較，自動(dòng)識(shí)別出不符合要求的配置項(xiàng)。例如：檢查數(shù)據(jù)庫(kù)服務(wù)器是否開(kāi)啟審計(jì)功能。檢查防火墻規(guī)則是否足夠多。檢查用戶(hù)賬號(hào)的密碼是否符合復(fù)雜度要求。檢查終端是否安裝防病毒軟件，并且病毒庫(kù)是否為最新；
• 基于知識(shí)圖譜的合規(guī)性評(píng)估：構(gòu)建安全合規(guī)知識(shí)圖譜，將安全法規(guī)、行業(yè)標(biāo)準(zhǔn)、企業(yè)內(nèi)部策略、IT資產(chǎn)、安全配置等信息關(guān)聯(lián)起來(lái)。利用圖譜和規(guī)則引擎，對(duì)企業(yè)的安全合規(guī)性進(jìn)行評(píng)估，并識(shí)別出不符合要求的項(xiàng)。例如，判斷某個(gè)系統(tǒng)是否滿(mǎn)足等級(jí)保護(hù)三級(jí)的要求；判斷某個(gè)業(yè)務(wù)流程是否符合數(shù)據(jù)安全的要求；
• 自動(dòng)化合規(guī)生成報(bào)告：AI智能體根據(jù)合規(guī)檢查和評(píng)估的結(jié)果，自動(dòng)生成合規(guī)報(bào)告，包括檢查的范圍、發(fā)現(xiàn)的問(wèn)題、整改建議等。

智能化優(yōu)勢(shì)：

• 提高效率：自動(dòng)化執(zhí)行合規(guī)性檢查和評(píng)估任務(wù)，極大地提高工作效率；
• 降低成本：減少人工檢查的工作量，降低合規(guī)成本；
• 提升準(zhǔn)確性：減少人為錯(cuò)誤，提高合規(guī)性檢查的準(zhǔn)確性和一致性；
• 全面覆蓋：可以對(duì)企業(yè)的IT系統(tǒng)和安全措施進(jìn)行更全面的合規(guī)性檢查，避免遺漏；
• 及時(shí)更新：能夠及時(shí)跟蹤安全法規(guī)和標(biāo)準(zhǔn)的變化，并更新合規(guī)性檢查規(guī)則；
• 持續(xù)監(jiān)控：可以持續(xù)監(jiān)控企業(yè)的合規(guī)狀態(tài)，及時(shí)發(fā)現(xiàn)和整改不符合要求的項(xiàng)目。

五、知識(shí)問(wèn)答和專(zhuān)家輔助

威脅告警研判需要一定的安全知識(shí)和專(zhuān)家經(jīng)驗(yàn)，傳統(tǒng)SOC主要依賴(lài)人員專(zhuān)家的分析，往往面臨專(zhuān)家短缺的困難，運(yùn)用安全專(zhuān)業(yè)知識(shí)增強(qiáng)大語(yǔ)言模型，從而形成針對(duì)安全領(lǐng)域的智能問(wèn)答推理、問(wèn)題解決和決策支持的專(zhuān)業(yè)能力。如利用算法提取相關(guān)特征，如網(wǎng)絡(luò)流量特征、系統(tǒng)調(diào)用序列、API調(diào)用序列等，使用標(biāo)注數(shù)據(jù)訓(xùn)練深度學(xué)習(xí)/機(jī)器學(xué)習(xí)模型，并利用訓(xùn)練好的模型實(shí)時(shí)分析安全數(shù)據(jù)，檢測(cè)威脅，應(yīng)用于提高對(duì)流量、日志中的異常檢測(cè)和分析能力。

圖片

ISOC可以利用智能體提供專(zhuān)業(yè)的安全知識(shí)，通過(guò)自然語(yǔ)言交互問(wèn)答方式輔助分析師，獲取安全專(zhuān)業(yè)知識(shí)和系統(tǒng)業(yè)務(wù)數(shù)據(jù)以及圍繞安全運(yùn)營(yíng)、安全運(yùn)維相關(guān)的措施手段，如推薦研判方法，提供詳細(xì)的相關(guān)資料，并生成實(shí)時(shí)的安全建議和指導(dǎo)方案支持專(zhuān)家的判斷等。

知識(shí)問(wèn)答和專(zhuān)家輔助智能體

智能化賦能

• 機(jī)器學(xué)習(xí)算法和人工智能模型。通過(guò)對(duì)大量歷史安全數(shù)據(jù)的學(xué)習(xí)，建立正常網(wǎng)絡(luò)行為模型，當(dāng)出現(xiàn)與模型不符的異常行為時(shí)，立即發(fā)出警報(bào)，提高威脅檢測(cè)的及時(shí)性和準(zhǔn)確性；
• 利用AI技術(shù)對(duì)告警進(jìn)行深度分析，利用專(zhuān)家經(jīng)驗(yàn)?zāi)Ｐ秃腿斯ぶ悄芩惴?，?duì)告警進(jìn)行分類(lèi)和篩選，根據(jù)告警的特征、來(lái)源、關(guān)聯(lián)關(guān)系等因素，判斷告警的重要性和真實(shí)性。

智能化優(yōu)勢(shì)

• 輔助識(shí)別潛在威脅。對(duì)采集到的數(shù)據(jù)進(jìn)行實(shí)時(shí)分析，快速準(zhǔn)確地識(shí)別出潛在威脅，減少人工干預(yù)。將安全運(yùn)營(yíng)人員從海量告警中解放出來(lái)，聚焦關(guān)鍵威脅。